Die verschlüsselte Chat-App Signal hat nach gezielten Phishing-Attacken gegen Politiker, Militärs und Journalisten in Deutschland ihre Sicherheitsvorkehrungen verschärft. Künftig werden Nutzer beim Erhalt einer ersten Nachricht von einer unbekannten Nummer mit zusätzlichen Warnhinweisen konfrontiert. Dies gab Meredith Whittaker, Präsidentin der hinter Signal stehenden Non-Profit-Stiftung, in einem Interview mit dem Nachrichtenmagazin „Der Spiegel“ bekannt.
Hintergrund der Phishing-Kampagne
Die jüngste Angriffswelle richtete sich vor allem gegen Mitglieder der Bundesregierung und der Regierungsparteien. Zu den Betroffenen zählten Bundestagspräsidentin Julia Klöckner (CDU) sowie die Kabinettsmitglieder Verena Hubertz (SPD) und Karin Prien (CDU). Sicherheitsexperten vermuten, dass die Angreifer aus Russland stammen. Ziel der Kampagne war es, Nutzerkonten zu übernehmen und vertrauliche Informationen aus Chatgruppen zu extrahieren.
Signal nicht gehackt
Whittaker stellte klar, dass Signal selbst nicht kompromittiert wurde. „Signal ist weiterhin sicher – unsere Verschlüsselung bleibt robust, und in unserem Open-Source-Code wurden keine Schwachstellen entdeckt. Wir sind durch unseren Erfolg offenbar zur Zielscheibe geworden, genauer gesagt durch unsere vielen hochrangigen Nutzerinnen und Nutzer.“ Die Angriffe basierten auf Social Engineering, bei dem die Opfer durch Manipulation zu Fehlern verleitet wurden. „Das kann bei jedem Dienst passieren“, betonte sie.
Neue Schutzmaßnahmen im Detail
Die wichtigste Neuerung betrifft das Hinzufügen unbekannter Kontakte. Bisher war dies mit einem einzigen Klick möglich, künftig wird der Prozess verlangsamt und mit einem obligatorischen Warnhinweis versehen. Zudem kündigte Whittaker weitere Verbesserungen an: „Wir prüfen noch weitere Ideen und werden dazu bald mehr bekanntgeben. Und um es noch einmal klar zu sagen: Signal wird Nutzer niemals in einem zweiseitigen Chat kontaktieren, um sie nach ihrer PIN, ihrem Schlüssel oder anderen Informationen zu fragen.“
Kritik an öffentlicher Reaktion
Whittaker äußerte sich enttäuscht über die öffentliche Reaktion auf die Angriffe. Betroffene Politikerinnen seien im Netz als digitale Analphabeten verunglimpft worden. „Das hat mich enttäuscht, aber nicht überrascht. Ich nehme in Teilen der Techszene durchaus eine gewisse Arroganz wahr, die nicht nett ist.“ Sie betonte, dass Sicherheitsbewusstsein allein nicht ausreiche, um gegen professionelle Phishing-Kampagnen gewappnet zu sein.
Empfehlungen für Nutzer
Signal rät allen Nutzern, insbesondere aber hochrangigen Persönlichkeiten, folgende Vorsichtsmaßnahmen zu beachten:
- Niemals auf Anfragen nach persönlichen Daten wie PIN oder Passwort reagieren.
- Unbekannte Kontakte nur nach sorgfältiger Prüfung hinzufügen.
- Bei verdächtigen Nachrichten sofort die Signal-Support-Seite konsultieren.
Die neuen Schutzfunktionen werden schrittweise für alle Nutzer ausgerollt. Signal bleibt kostenlos und werbefrei, finanziert durch Spenden und Stiftungsgelder.
